Full paper (pdf) - CDC

Weitere Magazine

Empfehlungen

Info

3.5.2 Eine Variante des Verfahrens Das im vorigen Abschnitt geschilderte Verfahren hat einige Nachteile, die wir hier diskutieren wollen. Abschließend stellen wir eine eigene Variante vor, die zumindest zwei dieser Nachteile behebt. • es existiert kein Sicherheitsbeweis für das vorgestellte Verfahren. In der Tat wird es von Frankel, Gemmell, MacKenzie und Yung lediglich als Heuristik bezeichnet [FGPY97]. Darauf aufbauend entwickeln sie noch ein weiteres Verfahren, dessen Sicherheit auf das RSA-Verfahren zurückgeführt werden kann, welches allerdings Interaktionen zwischen den Teilnehmern benötigt, weshalb wir uns in dieser Arbeit nicht weiter damit beschäftigen wollen. Trotz der fehlenden beweisbaren Sicherheit ist das Verfahren von anderen Autoren aufgegriffen worden [MSY00] und wurde zum Beispiel auch im Rahmen eines von der TU Darmstadt und der japanischen Telefongesellschaft NTT gemeinsam entwickelten verteilten RSA-Zeitstempeldienstes eingesetzt [ABF + 99]. • die Schlüsselanteile, die den Teilnehmern zugestellt werden, sind keine normalen RSA-Schlüssel. Die Exponenten, die bei den partiellen RSA- Berechnungen zum Einsatz kommen, sind aufgrund der Multiplikationen zum Herstellen der Teilbarkeit um einige Bit länger als normale RSA- Exponenten und aufgrund der Interpolationskoeffizienten teilweise auch negativ. Beides erschwert den Einsatz von kryptographischen Bibliotheken oder Hardwareimplementierungen für RSA-Berechnungen. Insbesondere entfällt die Möglichkeit der sicheren Speicherung der Teilschlüssel auf RSA-fähigen Chipkarten. • zum Berechnen der Teilergebnisse müssen die Teilnehmer der Berechnung bekannt sein (die Menge Λ). Wenn sich erst später herausstellt, daß einige Teilnehmer nicht zur Verfügung stehen, müssen alle Teilnehmer die Berechnung wiederholen. Das Problem vergrößert sich noch in Anbetracht des nächsten Kritikpunktes. • ein vorliegendes Teilergebnis läßt sich nicht auf Korrektheit überprüfen. Ein fehlerhaftes Ergebnis wird erst nach der Kombination aller Teilergebnisse erkannt, ohne daß allerdings bekannt wäre, welche der Teilergebnisse zum Fehler geführt haben. Dies macht es sehr schwierig, einen fehlerhaft arbeitenden Teilnehmer zu erkennen und auszuschließen. In unserer Implementierung haben wir eine Variation des Verfahrens entwickelt, bei der den Teilnehmern gewöhnliche RSA-Schlüssel zugeteilt werden, mit denen sie die partiellen Berechnungen durchführen können. Die Teilergebnisse können dann in beliebigen Kombinationen zusammengeführt werden, ohne daß Neuberechnungen durch die Teilnehmer notwendig werden. Damit sind zwei der angesprochenen vier Mängel behoben. Das Problem einen fehlerhaften Beitrag erkennen zu können wird ebenfalls gemildert, da alle zulässigen Kombinationen getestet werden können (ohne weitere Beteiligung der eventuell betrügerischen Teilnehmer). Bestehen bleibt die unbewiesene Sicherheit des 25
Verfahrens (ein beweisbar sicheres Verfahren, das auch betrügerische Teilnehmer aufdeckt, wird in Abschnitt 3.6 vorgestellt). Schlüsselerzeugung Die Schlüsselerzeugung erfolgt zunächst genauso wie beim Frankel-Gemmell-MacKenzie-Yung-Verfahren aus Abschnitt 3.5.1. Dieses wird vollständig ausgeführt, so daß im Ergebnis die Interpolationsstellen di für die einzelnen Teilnehmer berechnet wurden. Wie oben dargelegt sind alle di durch L teilbar um Invertierungen zu vermeiden. Gleichzeitig sind die di dadurch auch größer als normale RSA-Exponenten und können durch die Inter- polationskoeffizienten λi,Λ = � l∈Λ\{i} l l−i , mit denen sie multipliziert werden, auch negativ werden. In unserem Verfahren führen wir alle Divisionen, die sich durch die Koeffizienten ergeben können, bereits als Vorberechnung aus: d ′ i = di � l∈{1...n}\{i} l − i Infolge dessen müssen durch den einzelnen Teilnehmer i zur Berechnung seines Teilergebnisses si = mdiλi,Λ (mod N) keine Divisionen, sondern nur noch Multiplikationen des neuen Exponenten d ′ i vorgenommen werden: � diλi,Λ = d ′ i l∈Λ\{i} l � l∈{1...n}\Λ l − i Diese Multiplikationen im Exponenten können aber auch als Exponentiationen ausgeführt werden: m diλi,Λ d = (m ′ � � i) l∈Λ\{i} l l∈{1...n}\Λ l−i (mod N). Schlüsselverwendung Da für die Exponentiationen keine geheimen Informationen notwendig sind, sondern lediglich Kenntnis über die Beteiligten i ∈ Λ, können diese Berechnungen auch beim Kombinieren durchgeführt werden. Es wird also möglich, daß die Teilergebnisse von den Teilnehmern ohne Kenntnis der Identität der anderen Beteiligten erstellt werden. Sie müssen nur noch eine gewöhnliche RSA-Operation s ′ i = m d′ i (mod N) durchführen. Dadurch können wir bei der Schlüsselerzeugung die Exponenten d ′ i , die im allgemeinen zwar kleiner als die ursprünglichen di, aber immer noch größer als normale RSA-Exponenten, sowie teilweise negativ sein werden, modulo (p − 1)(q − 1) reduzieren (die Gruppenordnung ist zum Zeitpunkt der Schlüsselerzeugung noch bekannt). Auf diese Weise können den Teilnehmern gewöhnliche RSA-Schlüssel übergeben werden. Die Kombination der Teilergebnisse erfolgt dann als und si = (s ′ � � l∈Λ\{i} l l∈{1...n}\Λ i) l−i 26 (mod N) ∀i ∈ Λ
Seite 1 und 2: Konzepte für eine sichere Schlüss
Seite 3 und 4: Vorwort Die vorliegende Arbeit ist
Seite 5 und 6: C UML-Klassendiagramme 81 D Benutze
Seite 7 und 8: öffentlichen Schlüssel eindeutig
Seite 9 und 10: 2.1 Einfaches Secret-Sharing Eine s
Seite 11 und 12: � � t n -Secret-Sharing Die mei
Seite 13 und 14: Logarithmus log g h bezüglich des
Seite 15 und 16: • Ein Secret-Sharing-Verfahren he
Seite 17 und 18: Kapitel 3 Key-Sharing Die Sicherhei
Seite 19 und 20: (dies muß nicht unbedingt für die
Seite 21 und 22: Primzahlen, die aber nicht bekannt
Seite 23 und 24: Den Teilnehmern übermittelt er die
Seite 25: Auf diese Weise ergibt sich eine Za
Seite 29 und 30: Schlüsselverwendung Es stellt sich
Seite 31 und 32: Schlüsselerzeugung Um ein ElGamal-
Seite 33 und 34: Die geheimen Teilexponenten ai für
Seite 35 und 36: SSL-Webserver [WMB99] und das COCA-
Seite 37 und 38: verwenden kann. Andererseits ergibt
Seite 39 und 40: mit Key-Recovery beauftragten Insti
Seite 41 und 42: SETUP Eine (reguäre) SETUP ist ein
Seite 43 und 44: heimgehalten werden, da die Chiffre
Seite 45 und 46: Kapitel 5 Implementierung Der Worte
Seite 47 und 48: KeyStore der KeyStore eignet sich z
Seite 49 und 50: entsprechende Schnittstelle für Di
Seite 51 und 52: ialisieren lassen und die Methode z
Seite 53 und 54: Abbildung 5.2: Key-Sharing-Basiskla
Seite 55 und 56: ShoupRSAPrivateKeyShare diese Klass
Seite 57 und 58: Provider dieser JCA-Provider meldet
Seite 59 und 60: Abbildung 5.4: Klassen aus dem Pake
Seite 61 und 62: Abbildung 5.6: Dialog zum Einlesen
Seite 63 und 64: UndecryptableKeyException diese Aus
Seite 65 und 66: ei der Fehlervermeidung, -suche und
Seite 67 und 68: (SecretShare[] shares, String integ
Seite 69 und 70: Keystore laden Der ShamirStore setz
Seite 71 und 72: Keystore speichern Der KeySharer sp
Seite 73 und 74: wird die Datei filename in shares D
Seite 75 und 76: Dateien verschlüsseln Der KeyShare
Seite 77 und 78:
Kapitel 6 Ausblick Wir haben mit di
Seite 79 und 80:
X.509 ITU Empfehlung X.509, auch IS
Seite 81 und 82:
ElGamal a privater Exponent, wird z
Seite 88 und 89:
Anhang D Benutzerhandbuch Kommandoz
Seite 90 und 91:
Anhang E Benutzerhandbuch Programmi
Seite 92 und 93:
E.4 Der KeySharer-KeyStore Konfigur
Seite 94 und 95:
PKI, 77 Polynominterpolation, 10 Pr
Seite 96:
[FGPY97] Y. Frankel, P. Gemmell, P.
Alle anzeigen

Full paper (pdf) - CDC

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?